„Silver Fox“ APT
Kibernetinio saugumo ekspertai atskleidė pažangią ir nuolat besivystančią sukčiavimo apsimetant kampaniją, daugiausia nukreiptą prieš vartotojus Taivane. Šią operaciją, kurią organizuoja grėsmių grupuotė, identifikuota kaip „Silver Fox APT“, naudoja kenkėjiškomis programomis užkrėstus dokumentus ir apgaulingus el. laiškus, kad platintų pavojingų nuotolinės prieigos Trojos arklių (RAT) seriją, įskaitant „HoldingHands RAT“ ir „Gh0stCringe“ – abu liūdnai pagarsėjusio „Gh0st RAT“ variantus.
Turinys
Sukčiavimas apsimetant pažįstamu veidu: apsimetinėjimas valdžios institucijomis
Ataka prasideda sukčiavimo el. laiškais, kuriuose apsimetama oficialiomis įstaigomis, tokiomis kaip Taivano nacionalinis mokesčių biuras. Šiuose el. laiškuose dažnai pateikiamos su mokesčiais, sąskaitomis faktūromis ar pensijomis susijusios temos, siekiant pasinaudoti gavėjų pasitikėjimu ir paskatinti juos atidaryti pridėtus failus. Kai kuriais atvejais įterpti vaizdai, spustelėjus juos, suaktyvina kenkėjiškų programų atsisiuntimą, o tai rodo perėjimą nuo tradicinių dokumentais pagrįstų masalų.
Ginkluoti dokumentai: PDF ir ZIP failai kaip kenkėjiškų programų pristatymo priemonės
Pagrindiniai siuntimo mechanizmai yra kenkėjiški PDF dokumentai arba ZIP archyvai, pridėti prie sukčiavimo el. laiškų. Šiuose failuose yra nuorodų, nukreipiančių vartotojus į atsisiuntimo puslapius, kuriuose yra ZIP failai, kuriuose yra:
- Teisėtai atrodantys vykdomieji failai
- „Shellcode“ krautuvai
- Užšifruotas apvalkalo kodas
Kai šie komponentai paleidžiami, jie veikia kartu, kad dislokuotų kenkėjišką programą nesukeldami aliarmo.
Daugiapakopė infekcijos grandinė: apgaulė sluoksniais
Infekcija vyksta keliais sudėtingais etapais:
„Shellcode Loader Activation“ : „Shellcode Loader“ iššifruoja ir inicijuoja įterptąjį „shellcode“.
DLL failų įkėlimas iš šono : teisėti dvejetainiai failai yra piktnaudžiaujami kenkėjiškų DLL failų įkėlimui iš šono, taip paslėpdami kenkėjišką programą.
Apsauga nuo virtualių kompiuterių programų ir privilegijų eskalavimas : šie metodai užtikrina, kad kenkėjiška programa nebūtų aptikta smėlio dėžės aplinkoje ir gautų didesnes sistemos teises.
Naudingasis krūvis ir paskirtis: šnipinėjimas ir kontrolė
Galutinėje naudingojoje apkrovoje yra failas pavadinimu „msgDb.dat“, kuris veikia kaip pagrindinis komandų ir valdymo (C2) modulis. Kai jis tampa aktyvus:
- Surenka neskelbtiną naudotojų informaciją
- Atsisiunčia papildomus komponentus
- Įgalina nuotolinį darbalaukio valdymą
- Tvarko failus užkrėstoje sistemoje
Šios galimybės rodo ketinimą išlaikyti ilgalaikę prieigą prie pažeistų mašinų ir jų stebėjimą.
Besivystanti taktika: nuolatinės inovacijos, kurias teikia „Silver Fox APT“
„Silver Fox APT“ nuolat tobulina savo įrankių rinkinį ir atakos technikas, kaip matyti iš to, kaip ji naudoja:
- „Winos 4.0“ sistema
- „Gh0stCringe“ platinimas per HTM atsisiuntimo puslapius
- „HoldingHands RAT“ (taip pat žinomas kaip „Gh0stBins“)
Grupės priklausomybė nuo sudėtingo apvalkalinio kodo, sluoksniuotų įkroviklių ir įvairių pristatymo vektorių rodo nuolatines pastangas išvengti aptikimo ir maksimaliai padidinti infiltracijos sėkmę.
Išvada: budrumas yra labai svarbus kovojant su sudėtingais grėsmių skleidėjais
Ši kampanija pabrėžia vis didėjantį APT grupių, tokių kaip „Silver Fox“, rafinuotumą. Naudodamiesi patikimomis temomis, apgaulingais failų formatais ir slaptais vykdymo metodais, šie veikėjai kelia rimtą grėsmę tikslinėms organizacijoms. Nuolatinis stebėjimas, savalaikis pataisymų diegimas ir patikimas el. pašto saugumas yra labai svarbios apsaugos nuo tokių besikeičiančių grėsmių priemonės.
